로그아웃시 refresh token 은 만료 시간 업데이트 했지만 access token 은 만료 시간 업데이트 못하는건가요?
1720
작성한 질문수 77
로그아웃 하게된다면
웹 브라우저시에 쿠키 및 로컬 스토리지에
아직 access token 이 남아 있을텐데
다른 사용자가 이걸 발견하고 이용하면 문제 있는거 아닌가요??
답변 1
1
안녕하세요 리나님
access token 같은 경우는 그래서 보통 만료시간을 짧게 가져갑니다. 탈취를 당하더라도 만료시간 자체를 짧게 가기 때문에 조금 덜 치명적이죠. 물론 애초에 탈취당하면 안되겠지만요.
보안이 중요한 서비스라면 access token 자체를 로그아웃 시 redis같은 캐시 서버에 저장을 해둡니다. 그리고 서버로 요청이 왔을 때 redis에 해당 access token이 존재하는지 보면됩니다. 해당 access token이 redis에 있다면 만료된 토큰인것이죠. 데이터베이스 조회를 하는게 아니라 캐시 서버를 사용하기 때문에 성능적으로도 더 좋을꺼구요.
이런거를 JWT Blacklist라고 부르는데 참고할만한 블로그도 전달드립니다!
https://velog.io/@boo105/Redis-%EB%A5%BC-%ED%86%B5%ED%95%9C-JWT-Blacklist-%EA%B5%AC%ED%98%84
OAUTH2 질문
0
99
2
카카오토큰관련
0
85
2
auditing
0
81
1
전역에러처리질문
0
117
2
토큰 발급 관련 문의 드립니다.
0
135
2
이 흐름이 맞을까요??
0
131
2
OpenFeign을 어떤 상황에서 어떻게 사용하는지 감이 안옵니다...
0
224
2
도메인형 패키지 구조 질문
0
244
1
application.yml token 선언 시 오류
0
325
1
토큰발행시 500 INTERNAL_SERVER_ERROR
0
159
1
oauth 회원가입 시 필수 추가 정보는 어떤 식으로 받으시나요?
0
290
2
io.jsonwebtoken.security.WeakKeyException 해결방법
0
389
1
리프레시 토큰 사용 관련 문의 건
0
337
1
Xss 에서 WebConfig 오류 발생됩니다.
0
675
1
applycation.yml 의 readTimeout 이 적용이 안됩니다.
0
699
2
강사님 Swagger에 질문드립니다.
0
295
2
kakao token 발급 시 에러
0
734
2
아직 초반부분인데 질문이있습니다.
0
206
1
socialLoginApiService map 주입
0
291
1
전역 에러 처리 메시지 관리
0
608
2
안드로이드 스튜디오와 협업
0
647
2
String accessToken = authorizationHeader.split(" ")[1];은 accessToken이 맞나요?
0
312
1
SocialLoginApiServiceFactory 생성자 관련 질문입니다.
0
257
1
OAuthAttributes 클래스의 toMemberEntity의 파라미터로 memberType이 들어가야하는 이유가 궁금합니다.
0
445
2